我想要一个可以在任何项目中使用并且可以自己启动其他快照的 openstack 机器快照。我希望任何人都可以在他们的项目中启动此快照的实例,并且无需任何额外配置就可以自行启动其他快照。这可能吗?
问问题
47 次
1 回答
1
简短的回答是:
目前没有办法安全地做到这一点......
由于 Keystone 扩展了提供共享信任令牌的能力,这可能是可行的。
长答案是:
它基本上归结为拥有它们的用户可以完全访问这些图像。因此,您存储在该图像上的任何 API 凭据都可能被来宾用户窃取。这意味着您无法将基本公共映像设置为拥有任何 API 凭证可用于进行 API 调用。
现在您可以在运行时注入凭据,但这必须由用户完成。您还可以在基础映像上有一个脚本,以交互方式请求用户身份验证凭据,以便它可以从 keystone 获取有效令牌。哎呀,您甚至可以使用以下选项之一在实例的运行时传递它:
我更喜欢用户数据和云初始化。 http://docs.openstack.org/trunk/openstack-compute/admin/content/user-data.html
配置驱动器在过去暴露了一些相当严重的安全风险。 http://docs.openstack.org/trunk/openstack-compute/admin/content/config-drive.html
这可能会让你走得够远。但它不会完全自动化。
于 2013-07-31T20:22:56.757 回答